【文章內(nèi)容簡介】 種 ： 一種是主機(jī)系統(tǒng)中的審計(jì)數(shù)據(jù)、安全日志、行為記錄等信息 ； 一種是網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包。特征提取的目的就是對這些原始數(shù)據(jù)進(jìn)行分析，提取攻擊特征，通過適當(dāng)?shù)木幋a將其加入入侵模式庫。一個(gè)特征應(yīng)該是一個(gè)數(shù)據(jù)獨(dú)有的特性，提取出來的特征應(yīng)該能夠準(zhǔn)確、完整的描述該數(shù)據(jù)或行為，從而為判斷入侵提供依據(jù)。 提取入侵行為的特征，就是對入侵行為進(jìn)行形式化的描述，對其進(jìn)行準(zhǔn)確地分類。目前，網(wǎng)絡(luò)攻擊分類方法主要有四種 ： 基于經(jīng)驗(yàn)術(shù)語的分類方法 、 基于單一屬性的分類方法 、 基于多屬性的分類方法 、 基于應(yīng)用的分類方法。其中基于多屬性的攻擊分類方法將攻擊看成是一個(gè)動態(tài)的過程，并將其分解成相互關(guān)聯(lián)的多個(gè)獨(dú)立的階段，再對每個(gè)階段的屬性進(jìn)行獨(dú)立的描述，具有很好的擴(kuò)展性，能夠全面地、準(zhǔn)確地表述攻擊過程，得到了廣泛的研究和應(yīng)用。 近幾年，基于主成分分析 (Principal Component Analysis， PCA)和獨(dú)立成分第一章 緒 論 6 分析 ( Independent Component Analysis， ICA)的特征提取方法成為研究的熱點(diǎn) 。PCA 技術(shù)可以將數(shù)據(jù)從高維數(shù)據(jù)空間變換到低維特征空間，能夠保留屬性中那些最重要的屬性，從而更精確的描 述入侵行為。 ICA 也是一種用于數(shù)據(jù)特征提取的線性變換技術(shù)，與 PCA 的主要區(qū)別是 ： PCA 分析僅利用數(shù)據(jù)的二階統(tǒng)計(jì)信息，所得的數(shù)據(jù)特征彼此正交 ； 而 ICA 分析利用了數(shù)據(jù)的高階統(tǒng)計(jì)信息，強(qiáng)調(diào)的是數(shù)據(jù)特征之間的獨(dú)立性。 4)入侵檢測方法研究 入侵檢測方法可以分為兩類 ： 異常入侵檢測 (Anomaly Detection)、 誤用入侵檢測 (Misuse Detection)和混合型入侵檢測 (Hybrid Detection)。 (1)異常 (Anomaly)IDS： 異常檢測也叫基于行為的檢測，是利用統(tǒng)計(jì)的方法來檢測系統(tǒng)的異常行 為。異常檢測假設(shè) ： 任何對系統(tǒng)的入侵和誤操作都會導(dǎo)致系統(tǒng)異常。它首先建立統(tǒng)計(jì)概率模型，明確所觀察對象的正常情況，然后決定在何種程度上將一個(gè)行為標(biāo)為“異?！?，再通過檢測系統(tǒng)的行為或使用情況的變化來完成對“異?！毙袨榈臋z測。異常檢測只能識別出那些與正常過程有較大偏差的行為，由于對各種網(wǎng)絡(luò)環(huán)境的適應(yīng)性不強(qiáng)，且缺乏精確的判定標(biāo)準(zhǔn)，異常檢測經(jīng)常會出現(xiàn)誤報(bào)的現(xiàn)象。 (2)誤用的 (Misuse)IDS： 誤用檢測也叫基于知識的檢測，是指運(yùn)用已知的攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測入侵。這種方 法由于依據(jù)具體特征庫進(jìn)行判斷，所以對已知的攻擊類型非常有效 ；并且因?yàn)闄z測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。但這種方法對攻擊的變種和新的攻擊幾乎無能為力 ； 同時(shí)由于對具體系統(tǒng)的依賴性太強(qiáng)，系統(tǒng)移植性不好，維護(hù)工作量大，并且檢測范圍受已知知識的局限。 (3)混合型 (Hybrid)IDS： 由于基于誤用的 IDS 和基于異常的 IDS 各有其優(yōu)越性和不足，因而在許多 IDS 中同時(shí)采用了這兩種不同的入侵檢測方法，這種 IDS稱為混合型 IDS?；旌闲?IDS 中異常檢測器和誤用檢測器之間應(yīng)該是互相約束的。由于異常檢 測難以克服其局限性，因而許多商用 IDS 基本上采用的都用基于誤用的入侵檢測方法。許多科研人員正在努力研究能應(yīng)用于實(shí)際入侵檢測系統(tǒng)的異常檢測器。 異常入侵檢測能夠識別新的入侵行為，具有較低的漏警率，但是卻有很高的誤警率。而誤用入侵檢測無法識別新的入侵行為，只能識別那些在其規(guī)則庫中存在的入侵行為，具有較高的漏警率，但是卻有很低的誤警率。因此，異常入侵檢測方法與誤用入侵檢測方法在功能上是互補(bǔ)的?？紤]到這些特性，目前大多數(shù)入侵檢測系統(tǒng)都同時(shí)采用了這兩種方法，即混合型檢測方法，主要有 ：第一章 緒 論 7 基于規(guī)范的檢測方法，基于生物免疫 的檢測方法，基 于偽裝的檢測方法，基于入侵報(bào)警的關(guān)聯(lián)檢測方法。 混合型入侵檢測方法綜合了異常和誤用檢測的優(yōu)點(diǎn)，是目前入侵檢測研究的重點(diǎn)，其設(shè)計(jì)目標(biāo)是提高入侵檢測的可靠性、準(zhǔn)確性，降低檢測的誤警率和漏警率。 5)IDS 響應(yīng)機(jī)制研究 IDS 響應(yīng)機(jī)制是入侵檢測的重要功能模塊。響應(yīng)機(jī)制根據(jù)入侵檢測的結(jié)果，采取必要和適當(dāng)?shù)膭幼?，阻止進(jìn)一步的入侵行為或恢復(fù)受損害的系統(tǒng)，同時(shí)對數(shù)據(jù)源和入侵檢測的分析引擎產(chǎn)生影響。針對數(shù)據(jù)源，響應(yīng)機(jī)制可以要求數(shù)據(jù)源提供更為詳細(xì)的信息、調(diào)整監(jiān)視策略、改變收集的數(shù)據(jù)類型 ； 針對分析引擎，可以更改檢 測規(guī)則、調(diào)整系統(tǒng)運(yùn)行參數(shù)等。 (1)被動響應(yīng) IDS： 系統(tǒng)檢測到入侵后，僅僅記錄所檢測到的異?；顒有畔?，并將警報(bào)信息報(bào)告給系統(tǒng)管理員，由系統(tǒng)管理員決定接下來應(yīng)該采取什么措施。 在早期的入侵檢測系統(tǒng)中，都是采取被動響應(yīng)方式。 (2)主動響應(yīng) IDS： 系統(tǒng)檢測到入侵后，采取某種響應(yīng)手段或措施阻塞攻擊的進(jìn)程或者改變受攻擊的網(wǎng)絡(luò)環(huán)境配置，以盡可能減小危害或阻止入侵。主動響應(yīng)采取的措施有 ： 追蹤入侵、切斷攻擊發(fā)起主機(jī)或網(wǎng)絡(luò)的連接、反向攻擊入侵主機(jī)等，更為先進(jìn)的主動響應(yīng)手段包括自動修補(bǔ)目標(biāo)系統(tǒng)的安全漏洞、動態(tài)更改檢測系統(tǒng)的檢 測規(guī)則集合等方法，甚至包括與“蜜罐” (HoneyPort)系統(tǒng)密切合作，積極收集攻擊行為的信息和入侵證據(jù)等。 在實(shí)際應(yīng)用中響應(yīng)機(jī)制最重要的要求是在系統(tǒng)被入侵后能及時(shí)進(jìn)行響應(yīng)，如果響應(yīng)不及時(shí)，系統(tǒng)可能已經(jīng)遭到嚴(yán)重的破壞，入侵檢測將失去意義，這就是實(shí)時(shí)響應(yīng)的要求。 傳統(tǒng)的響應(yīng)方法是系統(tǒng)自動根據(jù)事先定制的規(guī)則進(jìn)行反應(yīng)，由于新的入侵手段的出現(xiàn)以及規(guī)則庫的相對低智能，這種方法很難實(shí)現(xiàn)準(zhǔn)確無誤的響應(yīng)。 代理技術(shù)的發(fā)展為實(shí)時(shí)響應(yīng)提供了支持，基于分布式智能代理技術(shù)的實(shí)時(shí)響應(yīng)機(jī)制是當(dāng)前研究的重點(diǎn)。分布式智能代理技術(shù)是當(dāng)前遠(yuǎn)程 通信發(fā)展最快的領(lǐng)域之一，它是指在分布式環(huán)境中，一組不同的代理彼此協(xié)作，互相通信，使各代理能夠做出最理想的決策 。 它具有高度的智能化能夠獨(dú)立做出各種決策來檢測入侵并消除負(fù)面影響。基于分布式智能代理技術(shù)的實(shí)時(shí)響應(yīng)機(jī)制與入侵檢測系統(tǒng)的體系結(jié)構(gòu)研究休戚相關(guān)，采用的是主體型體 系結(jié)構(gòu)，需要有效設(shè)計(jì)系統(tǒng)中的各個(gè)功能模塊及它們之間的通信協(xié)議。 6) IDS 標(biāo)準(zhǔn)化 第一章 緒 論 8 隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)入侵方式、類型及特征日趨多樣化，入侵活動變得復(fù)雜而又難以捉摸，某些入侵行為單靠單一的入侵檢測系統(tǒng)無法檢測出來，需要多種安全措施協(xié)同工作才能有 效保障網(wǎng)絡(luò)系統(tǒng)的安全，這就要求各安全系統(tǒng)之間能夠交換信息，相互協(xié)作，形成一個(gè)整體有效的安全保障系統(tǒng)，這就是入侵檢測系統(tǒng)的標(biāo)準(zhǔn)化制定。 自 1997 年起，美國國防高級研究計(jì)劃署 (DARPA)和互聯(lián)網(wǎng)工程任務(wù)組(IETF)的入侵檢測工作組 (IDWG)發(fā)起制定了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面規(guī)范了 IDS 的標(biāo)準(zhǔn)。目前入侵檢測標(biāo)準(zhǔn)化工作取得的成果有 ： DARPA提出的公共入侵檢測框架 (Common Intrusion Detection Framework， CIDF )和 IDWG 制定的數(shù)據(jù) 格式和交換規(guī)程 。 CIDF 的規(guī)格文檔主要包括 4 部分 ： 體系結(jié)構(gòu)、 IDS 通信機(jī)制、通用入侵描述語言 ( Common Intrusion Specification Language， CISL )、應(yīng)用編程接口 API。 IDWG 定義了數(shù)據(jù)格式和交換規(guī)程，用于入侵檢測與響應(yīng)系統(tǒng)之間與需要交互的管理系統(tǒng)之間的信息共享，包括 三 部分 ： 入侵檢測消息交換格式(IDMEF )、入侵檢測交換協(xié)議 (IDXP)、隧道輪廓 (Tunnel Profile )。 入侵檢測系統(tǒng)的標(biāo)準(zhǔn)化工作提高了 IDS 產(chǎn)品、組件與其它安全產(chǎn)品之間的互操作性和 互用性，使得多種安全技術(shù)及其產(chǎn)品能夠協(xié)同工作，共同保障系統(tǒng)安全。 本文 的主要工作 入侵檢測在網(wǎng)絡(luò)安全防護(hù)中發(fā)揮著重要的作用，具有重大的研究意義。如上所述，入侵檢測研究的領(lǐng)域很多，本文對其中若干子課題作了研究，分別是網(wǎng)絡(luò)攻擊模型研究、入侵檢測方法研究以及 IDS 體系結(jié)構(gòu)研究。本文所作的主要工作如下 ： 1)對入侵檢測模式匹配算法作了研究，提出了一種改進(jìn)的 ACBM 多模式匹配算法。 ACBM 算法在誤用入侵檢測基于規(guī)則的模式匹配中得到廣泛的應(yīng)用，然而在實(shí)際的應(yīng)用中還存在以下問題 ： 對短模式處理效果差 ； 不支持 多用戶等 。本文分析了這些問題存在的原因，并對算法作了改進(jìn) ： 首先，將短模式與長模式分開進(jìn)行處理，避免了短模式對長模式的影響， 并 通過直接計(jì)算哈希值的方法來對短模式串進(jìn)行匹配，提高了短模式串的匹配速度 ； 最后，采用地址過濾的方法 避免了鏈表的遍歷，同時(shí)節(jié)省了原有算法中用于計(jì)算前綴哈希值的時(shí)耗；其次，為 進(jìn)一步提高了算法的匹配速度，設(shè)計(jì) MRRT 規(guī)約樹能支持多第一章 緒 論 9 線程歸約和在線動態(tài)調(diào)整，特別適用于大規(guī)模多模式匹配 。 改進(jìn)后的 ACBM算法具有更好的性能，提高了入侵檢測中模式匹配的速度。 2)基于啟發(fā)式搜索的特征選擇 ，在進(jìn)行模式 分類時(shí)，只有特征向量中包含足夠的類別信息，分類器才能實(shí)現(xiàn)正確分類，而特征中是否包含足夠的類別信息卻很難確定，為了提高識別率，我們總是最大限度地提取特征信息，結(jié)果不僅使特征維數(shù)增大，而且其中可能存在較大的相關(guān)性和兀余性，這給特征的進(jìn)一步處理和入侵檢測模型的實(shí)現(xiàn)都帶來很大的困難。因而，需要在不降低 (或盡量不降低 )檢測準(zhǔn)確度的前提下，采用一定的算法，盡量降低特征空間的維數(shù)，這就是特征選擇。 2)對 IDS 中的 SVM 分類器作了研究，提出了一種基于超球面邊界樣本點(diǎn)篩選算法的 SVM 分類器。在異常入侵檢測中 SVM 分類器可用 于對未知入侵進(jìn)行檢測，而 SVM 分類器的構(gòu)造目前主要受到兩個(gè)方面的困擾 ： 一是當(dāng)訓(xùn)練樣本規(guī)模較大時(shí)，分類器的訓(xùn)練時(shí)間過長 ； 二是離群點(diǎn)的存在嚴(yán)重影響分類器的泛化能力。為了消除離群點(diǎn)并精簡訓(xùn)練樣本集，考慮到分類器的劃分結(jié)果主要由位于兩類樣本點(diǎn)邊界處占樣本數(shù)少部分的支持向量決定，本文采用了以下方法對樣本集進(jìn)行處理 ： 首先采用 KNN 算法對離群點(diǎn)進(jìn)行消除 ； 然后構(gòu)造以樣本點(diǎn)為球心的超球面，通過判斷超球面內(nèi)樣本點(diǎn)類別的異同來判斷該作為球心的樣本點(diǎn)是否位于邊界，從而提取邊界樣本點(diǎn)。實(shí)驗(yàn)結(jié)果表明通過選擇適當(dāng)?shù)呐R近點(diǎn)個(gè)數(shù)及超球面半徑 ，能夠有效的提取邊界樣本點(diǎn)，達(dá)到消除離群點(diǎn)和精簡訓(xùn)練樣本集的目的，而且精簡后的樣本集不會影響分類器的泛化能力。該分類器在異常入侵檢測中表現(xiàn)出較好的性能。 3)提出了一種基于 啟發(fā)式規(guī)則的 混合入侵檢測系統(tǒng)模型。模型 專門 設(shè)計(jì)了混合 入侵檢測引擎 ，結(jié)合誤用入侵檢測和異常入侵檢測技術(shù)，降低了入侵檢測的誤警率和漏警率。整個(gè)模型具有很好的可擴(kuò)展性、可靠性、穩(wěn)定性和可用性，能夠適用于大規(guī)模的高速的網(wǎng)絡(luò)環(huán)境。 本 文 的 組織結(jié)構(gòu) 本文的章節(jié)安排如下 ： 第一章，緒論。詳細(xì)分析了論文的研究背景、意義及技術(shù)難點(diǎn)，給出了論文的主 要研究工作和創(chuàng)新點(diǎn)。 第二章， 入侵檢測技術(shù)研究綜述 。 介紹了入侵檢測的概念和通用模型以及入侵檢測的技術(shù)分類，系統(tǒng)結(jié)構(gòu)分析，以及使用的規(guī)則描述語言和實(shí)驗(yàn)數(shù)據(jù)等第一章 緒 論 10 內(nèi)容。 第三章， 誤用入侵檢測中的模式識別算法研究 。 介紹了誤用入侵檢測模式匹配問題，重點(diǎn)分析介紹了 ACBM多模式匹配算法，提出了一種改進(jìn)的 ACBM算法 IACBM，比較分析了兩種算法入侵檢測的性能。 第四章， 基于啟發(fā)式搜索的特征選擇 。 介紹我們提出的基于變量相似性的特征選擇算法。 第五章， 異常入侵檢測中的 SVM 分類器研究 。 介紹了異常入侵檢測分類問題，對傳統(tǒng) 的 SVM 分類器作了介紹，針對傳統(tǒng) S VM 分類器存在的主要問題，提出了一種基于超球面邊界樣本點(diǎn)篩選算法的 SVM 分類器 (INNSVM)，比較分析了 INNSVM 分類器與其它 SVM 分類器對入侵檢測的性能。 第六章，基于啟發(fā)式規(guī)則的混合入侵檢測模型。 介紹了 IDS 系統(tǒng)體系結(jié)構(gòu)的發(fā)展， 提出了一種基于啟發(fā)式規(guī)則的混合入侵檢測模型，把連接上下行數(shù)據(jù)分別采用誤用檢測技術(shù)和異常檢測技術(shù)， 并對檢測到得結(jié)果 通過混合分析引擎擬合 ， 對模型的性能作了測試。 第 七 章，總結(jié)與展望。對本文的工作進(jìn)行總結(jié)，并對進(jìn)一步的研究工作進(jìn)行展望。第二 章 入侵檢測技術(shù)研究綜述 11 第二 章 入侵檢測技術(shù)研究綜述 本章綜述了入侵檢測技術(shù)的發(fā)展歷程，對現(xiàn)有的入侵檢測技術(shù)進(jìn)行了分類，介紹了入侵檢測技術(shù)的評價(jià)指標(biāo)，并以 典型的入侵檢測技術(shù)為例，分別介紹其技術(shù)要點(diǎn)，指出了它們的優(yōu)缺點(diǎn)。最后介紹了入侵檢測系統(tǒng)的體系結(jié)構(gòu)、規(guī)則描述語言和實(shí)驗(yàn)數(shù)據(jù)等。 檢測技術(shù)的發(fā)展史 早在 20 世紀(jì) 80 年代就已經(jīng)展開了對入侵檢測技術(shù)的研究，發(fā)展至今已有近 30 年的歷程。根據(jù)所檢測數(shù)據(jù)的來源不同，入侵檢測技術(shù)經(jīng)歷了基于主機(jī)的入侵檢測技術(shù)、基于網(wǎng)絡(luò)的入侵檢測技術(shù)和分布式入侵檢測技術(shù)三個(gè)發(fā)展時(shí)期。 1980 年， James 先生在他的開山之作《 Computer Security Threat Monitoring and Surveiliance》 沖首次提出了入侵檢測的概念，由此開始了對入侵檢測技術(shù)的研究。在這篇文章中，他提到了審計(jì)數(shù)據(jù)對于入侵檢測的重要性 ，通過監(jiān)視和存儲相關(guān)的審計(jì)數(shù)據(jù)信息，建立用戶審計(jì)信息模型，再根據(jù)這些統(tǒng)計(jì)模型發(fā)現(xiàn)系統(tǒng)當(dāng)中存在